脅威と脆弱性とリスクの関係
情報セキュリティマネジメントシステム(ISMS)やプライバシーマーク(Pマーク)の運用において、「リスク」を正しく評価し対策を講じることは最も重要なプロセスの一つです。
しかし、実務の中で「脅威」や「脆弱性」といった言葉が混同されたり、それらがどのように関連して「リスク」を形成しているのかが曖昧になったりすることも少なくありません。
本記事では、情報セキュリティの根幹をなす3つの概念とその相関関係について分かりやすく解説します。
セキュリティ対策は、単にツールを導入することではなく、自社の資産に潜む脆弱性を把握し、脅威が入り込む隙をいかに最小化するかという考え方が不可欠です。適切なリスクアセスメントを実施し、実効性のあるセキュリティ体制を構築するための基礎知識として、ぜひ本資料をご活用ください。
1. 脅威とは
脅威とは、それに悪意が伴うかに関係なく、結果的に組織が保有する情報資産に対して害を及ぼす、または発生する可能性のある事象をいいます。
盗難や不正アクセス、紛失、操作ミス、故障などの他に、地震や火災、洪水といったものも脅威と考えられます。
2. 脆弱性とは
組織の情報資産は、多くの脅威にさらされています。
脆弱性とは、組織の情報セキュリティ体制上、これらの脅威に対する攻撃に弱い状態のことを指します。
第三者が脅威となる行為(システムの乗っ取りや機密情報の漏洩など)やを行うことができる欠陥や仕様上の問題点といったシステム上の問題点や、機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得ます。
3. リスクとは
リスクとは、組織の情報セキュリティの脆弱な部分を付いて脅威が侵入し、情報資産の漏えいなどといった被害を及ぼす可能性のことを言います。情報セキュリティが100%完全なものであるならば、リスクは0と言えますが、そのようなことはほとんどなく、組織は常にこのリスクを考慮し、低減するために情報セキュリティを構築することになります。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。
